当前位置: 首页 > 行业资讯 > 网络安全日报 2024年05月27日

网络安全日报 2024年05月27日

发表于:2024-05-27 08:25 作者: 合天网安实验室 阅读数(2521人)

1、攻击者利用Foxit PDF 阅读器漏洞传播多种恶意软件

https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/

多个威胁行为者正在利用Foxit PDF Reader中的设计漏洞,传播各种恶意软件,如Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT和XWorm。该漏洞触发的安全警告可能会欺骗毫无防备的用户执行有害命令。值得注意的是,Adobe Acrobat Reader,更常见于沙箱或杀毒解决方案中,不易受此特定漏洞的影响,这也导致了该活动的低检测率。当用户被要求在启用某些功能之前信任文档以避免潜在的安全风险时,应用程序在弹出窗口中将“确定”设为默认选项。一旦用户点击“确定”,会显示第二个弹出窗口,警告文件即将执行附加命令,并将“打开”设为默认选项。然后,该命令用于下载并执行托管在Discord内容交付网络(CDN)上的恶意负载。

2、GhostEngine挖矿利用漏洞驱动程序关闭EDR安全功能

https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html

恶意加密挖矿活动代号'REF4578',部署名为GhostEngine的恶意负载,利用漏洞驱动程序关闭安全产品并部署XMRig矿工。安天的研究人员和国外厂商在分别发布的报告中指出了这些加密挖矿攻击的非同寻常的复杂性,并分享了检测规则以帮助防御者识别和阻止这些攻击。两份报告均未将该活动归因于已知的威胁行为者,也未分享有关目标或受害者的详细信息,因此该活动的来源和范围仍不明。

3、 LockBit声称针对加拿大连锁药店London Drugs进行了攻击

https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/

LockBit勒索软件团伙声称他们是四月对加拿大连锁药店London Drugs进行网络攻击的幕后黑手,并威胁将在谈判失败后公开被盗数据。London Drugs在阿尔伯塔省、萨斯喀彻温省、马尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工,提供医疗保健和药房服务。4月28日的一次网络攻击迫使London Drugs关闭了整个加拿大西部的所有零售店。该公司表示,尚未发现客户或员工数据受到影响的证据。“如果我们的调查显示任何个人信息被泄露,我们将根据适用的隐私法通知受影响者和相关隐私专员,”该药店连锁店当时表示。

4、Atlassian Bitbucket工件文件可能泄露明文身份验证密钥

https://cloud.google.com/blog/topics/threat-intelligence/bitbucket-pipeline-leaking-secrets

研究人员发现攻击者利用在Atlassian Bitbucket工件对象中以明文形式泄露的身份验证密钥入侵AWS账户。研究人员在调查最近曝光的Amazon Web Services (AWS)机密时发现了这个问题,威胁行为者利用这些机密获得了对AWS的访问权限。尽管这个问题是在调查背景下发现的,但它说明了以前被认为是安全的数据如何以明文形式泄露到公共存储库中。Bitbucket是由Atlassian运营的一个与Git兼容的基于Web的版本控制存储库和托管服务,为开发人员提供代码管理和协作平台。

5、OmniVision在2023年勒索软件攻击后披露数据泄露事件

https://www.documentcloud.org/documents/24674250-omnivision

总部位于加利福尼亚的成像传感器制造商OmniVision警告称,去年该公司遭遇了Cactus勒索软件攻击,导致数据泄露。OmniVision是中国韦尔半导体的子公司,设计和开发用于智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等领域的成像传感器。2023年,该公司拥有2200名员工,年收入达14亿美元。上周五,OmniVision通知了加利福尼亚州当局,称该公司在2023年9月4日至9月30日期间发生了一起安全漏洞事件,当时其系统被勒索软件加密。“2023年9月30日,OVT了解到一起安全事件,导致某些OVT系统被未经授权的第三方加密,”公告中写道。

6、勒索软件攻击遵循既定的模式利用VMware ESXi漏洞

https://www.sygnia.co/blog/esxi-ransomware-attacks/

无论部署了何种文件加密恶意软件,针对VMware ESXi基础设施的勒索软件攻击都遵循既定模式。虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,使其成为威胁行为者滥用的有利且高效的目标。研究人员通过其涉及各种勒索软件家族(如LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt)的事件响应工作发现,对虚拟化环境的攻击遵循类似的行动顺序。

7、CISA警告Apache Flink安全漏洞正在被积极利用

https://www.cisa.gov/news-events/alerts/2024/05/23/cisa-adds-one-known-exploited-vulnerability-catalog

美国网络安全和基础设施安全局(CISA)周四将影响Apache Flink的安全漏洞添加到其已知被利用漏洞(KEV)目录中,引用了活跃利用的证据。该漏洞被追踪为CVE-2020-17519,涉及不当访问控制,可能允许攻击者通过JobManager的REST接口读取本地文件系统上的任何文件。这也意味着远程未经身份验证的攻击者可以发送精心构造的目录遍历请求,从而允许未经授权访问敏感信息。该漏洞影响Flink 1.11.0、1.11.1和1.11.2版本,并在2021年1月的1.11.3或1.12.0版本中得到修复。

8、 Windows 11的Recall AI功能将记录用户在PC上的所有活动

https://blogs.microsoft.com/blog/2024/05/20/introducing-copilot-pcs/

微软宣布在Windows 11中推出一项名为“Recall”的新AI功能,该功能记录用户在PC上的所有活动,并允许用户搜索历史活动。Recall就像你的PC的照片记忆,让用户能够通过使用母语查询的方式,有条理地访问用户在电脑上看到或做过的所有事情。通过Recall,用户可以滚动浏览你的时间轴,找到用户曾打开过的任何应用程序、网站或文档的内容。该功能利用快照根据识别到的内容建议操作,使用户能够轻松返回到Outlook中的特定电子邮件或Teams中的正确聊天记录。要在Windows上使用Recall,用户需要一台支持40 TOPs NPU的Copilot+ PC,一个Snapdragon X芯片,16GB的RAM和256GB的存储空间。

9、Ivanti修补了Endpoint Manager中的关键远程代码执行漏洞

https://thehackernews.com/2024/05/ivanti-patches-critical-remote-code.html

Ivanti在周二推出了多项修复,以解决Endpoint Manager (EPM)中可能在特定情况下被利用实现远程代码执行的多个关键安全漏洞。在这10个漏洞中,有6个漏洞(CVE-2024-29822至CVE-2024-29827,CVSS评分:9.6)涉及SQL注入漏洞,允许同一网络中的未经身份验证的攻击者执行任意代码。剩余的4个漏洞(CVE-2024-29828、CVE-2024-29829、CVE-2024-29830和CVE-2024-29846,CVSS评分:8.4)也属于同一类别,但区别在于它们要求攻击者已通过身份验证。这些缺陷影响Ivanti EPM 2022 SU5及之前版本的核心服务器。公司还修复了Avalanche版本6.4.3.602中的一个高严重性安全漏洞(CVE-2024-29848,CVSS评分:7.2),该漏洞可能允许攻击者通过上传特制文件实现远程代码执行。此外,还发布了其他五个高严重性漏洞的修复补丁:Neurons for ITSM中的SQL注入(CVE-2024-22059)和不受限制的文件上传漏洞(CVE-2024-22060),Connect Secure中的CRLF注入漏洞(CVE-2023-38551),以及Secure Access客户端中的两个本地权限提升问题,分别在Windows(CVE-2023-38042)和Linux(CVE-2023-46810)平台上。

10、JAVS法庭录音软件在供应链攻击中被植入后门

https://www.rapid7.com/blog/post/2024/05/23/cve-2024-4978-backdoored-justice-av-solutions-viewer-software-used-in-apparent-supply-chain-attack/

攻击者在广泛使用的Justice AV Solutions (JAVS)法庭视频录音软件的安装程序中植入了后门恶意软件,能够接管受感染的系统。开发该软件的公司JAVS表示,这款数字录音工具目前在全球众多法庭、律师事务所、监狱和政府机构中已有超过10000次安装。JAVS已从其官方网站上移除受感染版本,并表示包含恶意fffmpeg.exe二进制文件的木马化软件“并非来自JAVS或与JAVS相关的任何第三方。公司还对所有系统进行了全面审计,并重置了所有密码,以确保如果密码被窃取,未来的攻击尝试无法利用这些密码。“通过持续监控和与网络安全机构的合作,我们发现有人试图用受感染文件替换我们的Viewer 8.3.7软件。”公司表示。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。